在现代互联网架构中，Nginx 已经成为了非常重要的组件，广泛应用于负载均衡、反向代理以及静态资源的服务。除了这些基本功能，Nginx 还提供了丰富的配置选项来处理限流（Rate Limiting）和鉴权（Authentication）。这两项技术对于确保服务的可用性和安全性至关重要，特别是在高并发和敏感数据访问场景中。本文将详细介绍如何在 Nginx 中配置限流和鉴权，并讲解其在实际应用中的必要性。

 点击关注 持续更新

一、Nginx 限流：防止恶意请求与流量洪峰

1. 限流的必要性

在生产环境中，尤其是面对大规模用户访问时，系统可能会遭遇各种形式的恶意攻击和流量洪峰。常见的场景包括：

• 暴力破解：攻击者通过不断尝试用户名和密码进行暴力破解，这种攻击方式会消耗大量的服务器资源。

• 爬虫攻击：不受控制的爬虫请求可能会导致服务器负载过高，甚至导致服务宕机。

• DoS/DDoS 攻击：分布式拒绝服务攻击（DDoS）通过大量请求压垮服务器，造成服务不可用。

限流可以帮助我们有效控制每个客户端在单位时间内的请求频率，从而减少服务的压力，防止恶意攻击。

2. 使用limit_req 模块实现限流

Nginx 提供了limit_req 模块来实现请求限流。它可以基于客户端 IP 或路径进行限流，并支持精确的控制。

示例配置：按 IP 限制请求频率

http {

    # 定义一个限制请求速率的区域

    limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

    server {

        listen 80;

        server_name example.com;

        location / {

            # 使用指定的限制区域

            limit_req zone=one burst=5 nodelay;

            # 正常处理请求

            proxy_pass http://backend;

        }

    }

}

• limit_req_zone：定义了限流的区域，这里基于客户端的 IP 地址（$binary_remote_addr），并限制请求频率为每秒 1 个请求。zone=one:10m 表示为这个限流区域分配 10MB 的内存。

• limit_req：实际限制每秒的请求数量，burst=5 表示允许最多 5 个突发请求，nodelay 表示不延迟处理突发请求。

使用场景：

1. 防止暴力破解：限制一个 IP 每秒只能发起 1 次请求，可以有效防止暴力破解密码的攻击。

2. 应对爬虫流量：对于爬虫或不受控制的自动化工具，设定限流策略可以减轻服务器负载，保护重要接口不被过度访问。

3. Nginx 限流的其他方式

虽然按IP 限流是最常见的方式，但 Nginx 还支持多种限流策略，可以帮助针对不同的业务场景灵活配置限流机制。以下是其他一些常见的限流方式：

按URI（路径） 限流

在某些场景下，我们希望对特定路径的请求进行限流，比如 API 接口。Nginx 可以通过$request_uri 或location 配置项进行路径级别的限流。

示例：按 URI 限流

http {

    limit_req_zone $request_uri zone=path:10m rate=1r/s;

    server {

        listen 80;

        server_name example.com;

        location /api/ {

            # 使用路径限流

            limit_req zone=path burst=5 nodelay;

            proxy_pass http://backend;

        }

    }

}

• limit_req_zone $request_uri：将路径作为限流的依据，限制每个路径每秒最多接受 1 个请求，burst=5 允许最多 5 次突发请求。

按Session ID 限流

某些应用场景下，我们可能需要根据用户的会话信息进行限流，比如同一个用户在短时间内不能发起过多请求。可以通过cookie 来标识会话。

示例：按 Session ID 限流

http {

    limit_req_zone $cookie_session_id zone=session:10m rate=2r/s;

    server {

        listen 80;

        server_name example.com;

        location / {

            # 使用 Session ID 限流

            limit_req zone=session burst=10 nodelay;

            proxy_pass http://backend;

        }

    }

}

• $cookie_session_id：从请求的 cookie 中获取 Session ID，作为限流的依据。每个 Session 每秒最多接受 2 个请求。

按请求头 限流

通过limit_req 配合请求头信息（如User-Agent 或X-Forwarded-For）进行限流，可以针对特定的用户设备或来源 IP 进行控制。

示例：按 User-Agent 限流

http {

    limit_req_zone $http_user_agent zone=user_agent:10m rate=5r/s;

    server {

        listen 80;

        server_name example.com;

        location / {

            # 使用 User-Agent 限流

            limit_req zone=user_agent burst=10 nodelay;

            proxy_pass http://backend;

        }

    }

}

• $http_user_agent：从请求的User-Agent 头中提取设备信息，并基于此进行限流。

4. 限流的应对策略

• 平滑限流：通过设置burst 参数，可以允许短时间内的请求激增，但在超过限制时会被延迟处理，避免直接拒绝。

• 动态调整：根据不同的业务需求，可能需要动态调整限流参数，比如根据流量变化自动调整请求限制。

二、Nginx 鉴权：保障应用安全

1. 鉴权的必要性

鉴权是保障应用安全的核心机制之一，特别是在敏感数据的访问控制上。没有有效的鉴权措施，任何人都可以通过直接访问 API 或接口获取数据，带来安全风险。常见的鉴权方式包括：

• 基本认证：通过用户名和密码进行身份验证。

• JWT 鉴权：基于 JSON Web Token 的认证方式。

• OAuth 2.0：第三方授权认证，适用于需要跨域访问的应用。

在 Nginx 中配置鉴权，可以有效防止未授权的访问，确保只有合法用户能够访问敏感资源。

2. 使用auth_basic 实现 HTTP 基本认证

最常见的鉴权方式是基本认证，也就是用户在访问某些路径时需要提供用户名和密码。Nginx 通过auth_basic 模块来实现这种方式。

示例配置：设置 HTTP 基本认证

server {

    listen 80;

    server_name example.com;

    location /secure/ {

        # 启用基本认证

        auth_basic "Restricted Area";

        auth_basic_user_file /etc/nginx/.htpasswd;

        # 代理请求到后端

        proxy_pass http://backend;

    }

}

• auth_basic：指定认证区域的名称，浏览器会显示该名称作为认证提示。

• auth_basic_user_file：指定存储用户名和密码的文件路径。你可以使用工具（如htpasswd）生成该文件。

使用场景：

• 保护管理后台：仅允许经过认证的用户访问管理后台或控制台。

• 敏感数据访问：限制只有特定用户能够访问涉及个人数据、财务信息等敏感接口。

3. 使用 JWT 进行鉴权

对于更复杂的认证需求，可以采用JWT 鉴权。JWT（JSON Web Token）是一种轻量级的身份验证方式，广泛应用于现代 Web 应用和 API。通过 JWT，用户只需在第一次认证后获得一个 token，后续请求中通过带上该 token 实现身份验证。

Nginx 本身不直接支持 JWT，但可以借助第三方模块（如ngx_http_jwt_module）来实现 JWT 鉴权。

示例配置：基于 JWT 的鉴权

server {

    listen 80;

    server_name example.com;

    location /api/ {

        # 检查 Authorization 头中的 JWT token

        auth_jwt "Restricted Access";

        auth_jwt_key /etc/nginx/jwt-public.pem;

        # 代理请求到后端

        proxy_pass http://backend;

 }

}

• auth_jwt：启用 JWT 鉴权，指定需要身份验证的区域。

• auth_jwt_key：指定用于验证 JWT 的公钥。

使用场景：

• 微服务架构：多个服务之间需要进行安全的通信，可以通过 JWT 实现单点登录（SSO）和跨服务鉴权。

• 移动应用：移动端应用常常采用 JWT 进行身份验证，确保每次请求都可以验证用户身份。

三、总结

Nginx 提供了丰富的限流和鉴权配置选项，能够帮助开发者有效控制流量、保护服务安全。限流不仅有助于防止恶意攻击，还能在流量突发时保护服务稳定；而鉴权则保障了敏感资源的安全，确保只有授权用户可以访问。通过灵活运用这些功能，您可以让您的应用更安全、更高效。

如有任何问题，欢迎在评论区与我交流！

原文来源：https://mp.weixin.qq.com/s/tRGstOkvvxighAsdfsoRRA